Pour recruter un responsable de programme bug bounty ou VDP, commencez par déterminer si vous avez besoin d'un véritable propriétaire de programme ou d'un service de triage géré. Rédigez la fiche de poste autour de quatre missions clés : le triage des rapports, la relation avec les chercheurs, la responsabilité des SLA et de l'astreinte, et les décisions de niveau de prime. Évaluez le vrai jugement de triage et un historique avéré de communication avec les chercheurs, puis organisez un entretien pratique où le candidat effectue le triage d'un vrai rapport en direct, avec un contenu IA bâclé glissé volontairement.

Un responsable de programme bug bounty / VDP pilote de bout en bout votre fonction de gestion des vulnérabilités entrantes. Il effectue le triage des rapports à mesure qu'ils arrivent, valide ou réfute chaque signalement, communique avec les chercheurs externes, suit l'accusé de réception et la résolution au regard des SLA, gère la rotation d'astreinte qui capte les rapports critiques en dehors des heures ouvrées, et décide du montant versé pour chaque signalement valide. C'est un poste de jugement, de communication et d'exploitation qui exige certes des fondations techniques solides, mais qui n'a rien d'un pur rôle de hacking. Ce guide couvre le marché du recrutement en 2026, la rémunération à prévoir, le moment opportun pour recruter et la façon d'évaluer la personne qui prendra réellement en charge votre file de rapports.

## Le marché du recrutement des responsables bug bounty / VDP en 2026

Le poste se professionnalise rapidement, sous l'effet de trois forces : le haut du marché revalorise les primes à la hausse, l'IA inonde les files de rapports, et il n'existe toujours pas d'intitulé de poste clair pour la personne chargée de gérer tout cela.

Les intitulés courants pour ce même poste incluent **bug bounty program manager, VDP manager, vulnerability disclosure program manager, product security engineer (axé bug bounty)** et, dans les grandes organisations, **security program manager (offensive / CVD)**. Le fil conducteur est la responsabilité de la file de rapports et de la relation avec les chercheurs, pas celle de la base de code.

**1. Le haut du marché signale que la recherche entrante vaut réellement de l'argent.** En octobre 2025, Apple a annoncé une évolution majeure de son Apple Security Bounty, doublant sa récompense maximale de **1 million à 2 millions de dollars** pour les chaînes d'exploitation « zero-click », avec un système de bonus capable de porter un seul versement au-delà de **5 millions de dollars**. Les montants ont au moins doublé dans presque toutes les catégories (chaînes « one-click » de 250 000 $ à 1 000 000 $, proximité sans fil de 250 000 $ à 1 000 000 $, évasion du bac à sable applicatif de 150 000 $ à 500 000 $), à compter de novembre 2025 (Source : [Apple Security Research, « A major evolution of Apple Security Bounty »](https://security.apple.com/blog/apple-security-bounty-evolved/)). Quand le plus grand programme au monde revalorise aussi agressivement, chaque programme en aval subit la pression de formaliser sa propre façon de décider des versements. C'est là le travail d'un responsable de programme.

**2. Le volume de rapports générés par l'IA oblige les programmes à étoffer leurs équipes.** Le rapport 2025 Hacker-Powered Security de HackerOne a révélé que **les signalements valides liés à l'IA ont augmenté de 210 % d'une année sur l'autre**, que les rapports d'injection de prompt ont progressé de **540 %**, et que le nombre de programmes intégrant l'IA à leur périmètre ou ayant reçu un signalement IA valide a bondi de **270 %, pour dépasser 1 121 programmes** (Source : [HackerOne, « 210% Spike in AI Vulnerability Reports »](https://www.hackerone.com/press-release/hackerone-report-finds-210-spike-ai-vulnerability-reports-amid-rise-ai-autonomy)). Le revers de la médaille, c'est la vague de « contenu bâclé » : des soumissions automatisées et rédigées par l'IA, soignées en apparence mais techniquement creuses. HackerOne a recensé plus de **1 100 soumissions de robots de hacking**, dont environ **la moitié étaient valides** et **78 % relevaient du XSS**, des bugs courants plutôt que les failles logiques complexes qui exigent un jugement humain (Source : [HackerOne, « 3 Signals from the 2025 Hacker-Powered Security Report »](https://www.hackerone.com/blog/ai-security-trends-2025)). La hausse du signal réel *et* celle du bruit atterrissent dans la même boîte de réception, et toutes deux réclament une personne dont le métier à plein temps consiste à les distinguer.

**3. Il n'existe aucune catégorie professionnelle claire pour ce poste, et c'est précisément révélateur.** Le Bureau of Labor Statistics des États-Unis ne tient aucun code pour « responsable de programme bug bounty ». La classification la plus proche est **Information Security Analysts (SOC 15-1212)**, dont la croissance projetée est de **29 % entre 2024 et 2034**, l'un des métiers à la croissance la plus rapide suivis, avec environ **16 000 postes à pourvoir par an** et près de **182 800 emplois en 2024** (Source : [BLS Occupational Outlook Handbook, Information Security Analysts](https://www.bls.gov/ooh/computer-and-information-technology/information-security-analysts.htm)). Utilisez ce chiffre pour la trajectoire de la demande, pas comme un salaire : le code 15-1212 regroupe le responsable de programme avec les analystes SOC, les chasseurs de menaces et les ingénieurs sécurité généralistes. L'absence de catégorie dédiée explique précisément pourquoi « comment recruter cette personne, tout simplement » reste une question sans réponse pour la plupart des fondateurs.

| Signal du marché | Référence 2026 | Implication stratégique |
|---------------|----------------|----------------------|
| Prime Apple maximale | de 1 à 2 millions $ (jusqu'à 5 millions $ avec bonus), nov. 2025 | Les décisions de niveau de prime sont désormais à fort enjeu et formalisées |
| Signalements de vulnérabilités IA valides | +210 % sur un an (HackerOne) | Le signal réel augmente ; la file gagne en valeur, loin de la perdre |
| Programmes intégrant l'IA au périmètre | +270 %, soit plus de 1 121 | Plus de programmes signifie plus de concurrence pour les responsables expérimentés |
| Soumissions de robots de hacking | ~1 100, ~la moitié valides, 78 % XSS | Le volume et le bruit croissent tous deux ; le débit de triage est le goulot d'étranglement |
| Croissance des analystes en sécurité de l'information (SOC 15-1212) | 29 % (de 2024 à 2034), ~16 000 postes/an | Vous recrutez dans une grave pénurie de talents |

## Références salariales pour un responsable bug bounty / VDP en 2026

Faute de code métier dédié, la rémunération doit être triangulée à partir des intitulés voisins et des offres en ligne. En toute honnêteté : la fourchette est large, allant d'environ **115 000 $ pour un profil junior de coordinateur de programme jusqu'à 260 000 $ pour un responsable senior de sécurité produit** qui pilote l'ensemble de la fonction.

- **Palier coordinateur / analyste de programme.** L'agrégat « bug bounty program » de Glassdoor rapporte une moyenne d'environ **115 427 $**, avec un 90ᵉ centile proche de **197 097 $** (Source : [Glassdoor, Bug Bounty Program Salary](https://www.glassdoor.com/Salaries/bug-bounty-program-salary-SRCH_KO0,18.htm)). Cela mélange coordinateurs, agents de triage et managers : lisez-le comme un signal allant du plancher au milieu de fourchette.
- **Palier security program manager.** Début 2026, un **Security Program Manager** généraliste se situe en moyenne entre **145 000 et 149 000 $**, et un **Cyber Security Program Manager** autour de **162 242 $**, avec des valeurs au 90ᵉ centile proches de **167 000 $** (Sources : [Salary.com, Security Program Manager](https://www.salary.com/research/salary/recruiting/security-program-manager-salary), [PayScale, Security Program Manager](https://www.payscale.com/research/US/Job=Security_Program_Manager/Salary)). C'est le bon point d'ancrage pour un propriétaire de programme sans forte exigence de hacking pratique.
- **Palier senior sécurité produit / responsable dédié.** Les offres d'emploi de 2026 pour un responsable bug bounty pilotant un VDP de bout en bout se concentrent dans la fourchette de **240 000 à 260 000 $**, cohérente avec les ingénieurs sécurité seniors gagnant **de 190 000 à 270 000 $ de salaire de base** dans les entreprises bien financées (Source : [ZipRecruiter, Bug Bounty Jobs](https://www.ziprecruiter.com/Jobs/Bug-Bounty)). Considérez la fourchette de 240 000 à 260 000 $ comme issue des offres et dépendante de la zone géographique et du stade de l'entreprise, non comme une moyenne nationale. Elle reflète des postes seniors dans des entreprises tech financées, situées dans des métropoles à coût de vie élevé.

| Palier | Rémunération type 2026 | Ce que vous obtenez |
|------|-------------------|--------------|
| Coordinateur / agent de triage de programme | ~115 000 à 140 000 $ | Gère la file et la communication avec les chercheurs sous l'autorité d'un manager ; pas de responsabilité stratégique |
| Security program manager (CVD) | ~145 000 à 167 000 $ | Pilote les processus, les SLA, l'alignement des parties prenantes ; triage pratique plus léger |
| Responsable senior sécurité produit / dédié | ~190 000 à 260 000 $+ | Pilote le triage, la politique de primes, la relation avec les chercheurs et la validation technique pointue |

Deux réalités de rémunération à anticiper. Premièrement, la cybersécurité connaît une pénurie structurelle de talents (la projection de croissance de 29 % du BLS en est le signe) : les responsables spécialisés et à l'expérience démontrable exigent une prime et négocient dur. Deuxièmement, dans les entreprises cotées et en phase avancée, le salaire de base ne raconte qu'une partie de l'histoire : la rémunération globale avec les actions (participation au capital) peut dépasser nettement ces fourchettes de base ; budgétisez donc la rémunération globale, pas seulement le salaire.

## Quand recruter un responsable bug bounty / VDP dédié ?

La plupart des entreprises abordent ce recrutement à l'envers. Elles lancent un programme public, se retrouvent submergées, *puis* s'affolent. Recrutez avant le déferlement. Guettez ces signaux déclencheurs :

- **Vous êtes sur le point de rendre public un programme bug bounty.** Un programme privé, sur invitation, peut souvent être géré à temps partiel par un ingénieur sécurité déjà en poste. Un programme *public*, où n'importe qui peut soumettre, génère un volume qui exige un propriétaire dédié dès le premier jour. Aircall, par exemple, exploite un programme Bugcrowd sur invitation et a déclaré prévoir d'en étendre le périmètre et de le rendre public (Source : [Aircall security.txt](https://aircall.io/.well-known/security.txt)). C'est juste avant l'ouverture au public qu'il faut recruter le responsable.
- **Les rapports entrants détournent vos ingénieurs de la feuille de route.** Lorsque valider et réfuter des rapports (surtout le contenu IA bâclé) devient une taxe récurrente sur votre équipe d'ingénierie, un agent de triage dédié se rentabilise en heures d'ingénierie récupérées.
- **La conformité impose la fonction.** Des réglementations comme le règlement européen sur la cyberrésilience (Cyber Resilience Act) rendent la divulgation coordonnée des vulnérabilités obligatoire pour des catégories entières de produits, et une échéance de conformité est un déclencheur ferme pour pourvoir le poste. Voir notre [guide sur le Cyber Resilience Act de l'UE](/blog/eu-cyber-resilience-act-mandatory-vulnerability-disclosure).
- **Les chercheurs se plaignent publiquement.** Des accusés de réception lents, le silence et des paiements contestés sont la voie royale vers un incident de divulgation raté. Si les chercheurs sont déjà frustrés, vous êtes en retard.

### Internaliser ou externaliser : responsable interne ou triage géré

Avant de recruter, déterminez ce que les éditeurs de plateformes feront et ne feront pas pour vous. Le triage géré de HackerOne ou Bugcrowd assure la validation de premier niveau, mais il n'est pas gratuit et ne prend pas en charge votre remédiation *interne*, votre politique de primes ni vos relations avec les chercheurs.

Tarifs annoncés pour 2026 : les **programmes VDP d'entrée de gamme coûtent de 8 000 à 12 000 $/an**, les programmes bug bounty privés **de 25 000 à 40 000 $/an**, et les programmes d'entreprise couvrant toute la plateforme **plus de 150 000 $/an** ; les frais de plateforme Bugcrowd vont **de 30 000 à plus de 150 000 $** ; HackerOne ajoute **5 % de frais sur chaque prime versée**, et le triage géré ajoute plusieurs dizaines de milliers de dollars supplémentaires. Des frais de plateforme de 50 000 $, une cagnotte de primes de 200 000 $ et 40 000 $ de triage géré représentent un engagement annuel d'environ **290 000 $** (Source : [Ciphers Security, Bug Bounty Program Cost 2026](https://cipherssecurity.com/bug-bounty-cost-2026-hackerone-bugcrowd-synack/)).

Le calcul : un responsable interne en coût complet (environ 150 000 à 260 000 $) est comparable aux services gérés d'entreprise, mais ce responsable pilote en plus la stratégie de primes, le suivi de la remédiation interne et la relation avec les chercheurs, ce qu'aucune plateforme ne fait à votre place. La plupart des entreprises en croissance optent pour une approche hybride : une plateforme pour la réception et le triage de premier niveau, et un responsable interne qui pilote tout ce qui vient ensuite.

## Ce que vous recrutez réellement : les quatre missions clés

Soyez précis sur le poste avant de rédiger la fiche de poste, car les intitulés se recoupent, contrairement aux compétences. La personne qui pilote cette fonction accomplit quatre tâches distinctes.

1. **Triage et validation des rapports.** Lire chaque rapport entrant, reproduire ou réfuter le signalement, dédupliquer par rapport aux problèmes connus et, point crucial en 2026, repérer vite le contenu IA bâclé pour qu'il ne dévore jamais l'après-midi d'un ingénieur. C'est la partie du poste à plus fort volume et à plus fort jugement.
2. **Relation avec les chercheurs (le grand livre).** Entretenir la relation avec les chercheurs externes : accuser réception des rapports rapidement, communiquer honnêtement sur l'état d'avancement, suivre la réputation et l'historique de chaque chercheur, et protéger la confiance qui incite les bons chercheurs à vous soumettre leurs travaux plutôt qu'à les divulguer publiquement. Les litiges sur les primes se règlent ici. Voir notre [guide sur les litiges de primes et l'équité des SLA](/blog/bug-bounty-payout-disputes-resolution-sla-fairness).
3. **Astreinte et suivi des SLA.** Piloter les compteurs d'accusé de réception et de résolution. Un rapport critique qui arrive à 2 h du matin un samedi ne peut pas attendre lundi ; le responsable gère la rotation d'astreinte (ou y participe) et rend des comptes lorsqu'un SLA dérape.
4. **Décisions de niveau de prime.** Associer chaque signalement valide à un niveau de sévérité et à un montant en dollars, de façon défendable et cohérente. Une erreur ici, et soit vous surpayez le bruit, soit vous sous-payez la vraie recherche et perdez votre vivier de chercheurs. Voir [niveaux de récompense et confiance des chercheurs](/blog/bug-bounty-reward-tiers-researchers-trust-hackerone-cuts).

Un exemple concret utile : une offre Anthropic de 2026 pour un poste de **Technical Program Manager, Security (Coordinated Vulnerability Disclosure)** exige **plus de 10 ans en cybersécurité ou en gestion des vulnérabilités et plus de 4 ans à la tête de programmes de divulgation ou de réponse coordonnée**, avec la responsabilité de l'ensemble du cycle de vie CVD : du triage interne et de la validation humaine des signalements générés par l'IA, jusqu'à la coordination externe, en passant par des calendriers de divulgation échelonnés, en travaillant de façon transverse avec l'ingénierie sécurité, le juridique, la communication et le produit. Notez la mention explicite de la « validation humaine des signalements générés par l'IA ». C'est la version 2026 de ce poste.

L'erreur la plus fréquente et la plus coûteuse consiste à supposer qu'il s'agit d'un pur rôle de hacking pratique. C'est un poste de jugement, de communication et d'exploitation qui requiert assez de profondeur technique pour valider les signalements. Un développeur d'exploits brillant, incapable de communiquer avec un chercheur frustré ou de tenir un SLA, n'y réussira pas.

## Rédiger la fiche de poste du responsable bug bounty / VDP

Rédigez la description autour des quatre missions clés, et distinguez les exigences incontournables des atouts appréciables afin de ne pas rétrécir un vivier déjà minuscule.

**Responsabilités incontournables à détailler :**

- Trier et valider les rapports de vulnérabilités entrants ; reproduire les signalements et dédupliquer par rapport aux problèmes connus.
- Repérer et écarter le contenu IA bâclé à faible signal sans gaspiller le temps de l'ingénierie.
- Piloter la communication avec les chercheurs : accusés de réception rapides, points d'avancement honnêtes, gestion des litiges.
- Piloter le suivi des SLA (accusé de réception et résolution par niveau de sévérité) et participer à la rotation d'astreinte.
- Attribuer les niveaux de sévérité et de prime de façon cohérente au regard d'une grille publiée.
- Collaborer avec l'ingénierie sur la remédiation et avec le juridique sur la sphère de sécurité (Safe Harbor) et les calendriers de divulgation.

**Exigences vs atouts appréciables.** Exigences incontournables : la responsabilité démontrée d'un programme bug bounty ou VDP (en interne *ou* comme agent de triage de plateforme), la capacité à valider des vulnérabilités web et applicatives, et un historique avéré de bonne communication avec les chercheurs. Atouts appréciables : des certifications en sécurité offensive (OSCP et similaires), une expérience de coordination CVE / CERT-CC, et une expérience d'une plateforme précise (HackerOne, Bugcrowd, Synack). N'inscrivez aucune certification comme obligatoire. Les meilleurs responsables de programme viennent souvent du côté des chercheurs et font leurs preuves sur le jugement de triage, pas sur les diplômes.

**Indiquez le volume.** Précisez la file attendue (« trier environ X rapports/semaine sur N actifs ») et les objectifs de SLA que vous attendez d'eux. Cela permet aux opérateurs ayant réellement géré une file de se qualifier d'eux-mêmes, et écarte ceux qui n'ont fait que *soumettre* à des programmes.

Pour une structure et un langage qui attirent au lieu de rebuter, les principes de nos autres guides de recrutement s'appliquent : commencez par l'impact et les missions concrètes, pas par un mur de mots à la mode.

## Signaux de présélection : que rechercher

Évaluez sur des preuves, pas sur des impressions, et rappelez-vous que vous recrutez pour le jugement et la communication autant que pour la profondeur technique.

### 1. Le jugement de triage

La compétence centrale. Demandez le déroulé détaillé d'un vrai rapport qu'ils ont trié : comment ils l'ont reproduit, comment ils ont tranché sur sa validité, comment ils ont dédupliqué et, le signe distinctif de 2026, comment ils repèrent le contenu IA bâclé. Les bonnes réponses citent des signaux concrets : noms de fonctions hallucinés, CVE fabriquées, texte de remédiation générique, preuve de concept absente ou non fonctionnelle, formulations tirées d'un modèle, étapes de reproduction vagues. Un candidat incapable de formuler ses heuristiques de détection du contenu bâclé n'a pas été dans la file pendant le déferlement.

### 2. La communication avec les chercheurs et la gestion des litiges

Interrogez-les sur un litige de prime ou un chercheur en colère qu'ils ont apaisé, et sur une fois où ils ont dû rejeter le rapport d'un chercheur à forte réputation. Écoutez la combinaison d'empathie et de fermeté : ils ont protégé la relation *tout en* tenant la ligne sur la validité et la sévérité. C'est la compétence qui fait affluer la bonne recherche vers vous plutôt que vers les réseaux sociaux ou, pire, vers une divulgation publique ratée. Voir [quand les chercheurs rendent tout public](/blog/when-researchers-go-public-botched-disclosure).

### 3. La discipline des SLA et de l'astreinte

Demandez quels SLA d'accusé de réception et de résolution ils ont tenus, à quelle fréquence ils les ont manqués et pourquoi. Demandez comment ils ont géré un rapport critique en dehors des heures ouvrées. Les bons candidats raisonnent en compteurs et en chemins d'escalade ; les faibles traitent la file au mieux, sans engagement.

### 4. Le raisonnement sur les niveaux de prime

Soumettez-leur un signalement et demandez combien ils paieraient et pourquoi. Vous testez un cadre défendable et cohérent (de la sévérité au niveau, puis à la fourchette), pas un chiffre sorti de nulle part. Un responsable qui surrécompense le bruit fera exploser votre budget ; celui qui sous-récompense le vrai travail perdra vos chercheurs.

<div class="blog-inline-cta">
  <p><strong>Vous recrutez un opérateur sécurité ?</strong> Le pipeline structuré de Kit capture les exercices de triage, les mises en situation avec les chercheurs et les scores de grille sous forme de signaux comparables, pour que votre équipe compare les candidats sur le jugement, pas au flair.</p>
  <p><a href="/users/sign_up">Démarrez votre essai gratuit</a></p>
</div>

## Concevoir le processus d'entretien

Évaluez un responsable de programme en le regardant faire le travail, pas en en discutant. Un parcours pratique :

1. **Présélection par le recruteur / le responsable du recrutement (30 min).** Adéquation au poste, les programmes qu'ils ont pilotés, le volume et les SLA qu'ils ont tenus. Demandez des chiffres réels.
2. **Exercice de triage en direct (60 min).** Remettez-leur deux ou trois rapports réels, anonymisés, et glissez délibérément un contenu IA bâclé et un signalement vraiment bon. Faites-leur effectuer le triage en direct : reproduire, valider, dédupliquer, attribuer la sévérité, rédiger la réponse au chercheur et décider d'un versement. Ce seul exercice révèle d'un coup le jugement de triage, la détection du contenu bâclé, le ton de la communication et le raisonnement sur les primes.
3. **Mise en situation avec un chercheur (30 min).** Vous jouez un chercheur frustré, à forte réputation, contestant une sévérité revue à la baisse. Observez comment ils tiennent la ligne tout en protégeant la relation.
4. **Analyse approfondie des systèmes et des processus (30 min).** Parcourez leur dernier programme de bout en bout. Où étaient les goulots d'étranglement ? Quels SLA ont dérapé et pourquoi ? Comment ont-ils utilisé — ou auraient-ils aimé utiliser — l'automatisation pour le triage de premier niveau ?
5. **Transversalité et valeurs.** Comment ils collaborent avec l'ingénierie sur la remédiation et avec le juridique sur la sphère de sécurité (Safe Harbor) et les calendriers de divulgation.

Bonnes questions d'entretien à intégrer :

- « Racontez-moi le dernier rapport que vous avez trié et qui s'est révélé être du contenu bâclé. Qu'est-ce qui vous a mis la puce à l'oreille ? »
- « Parlez-moi d'un litige de prime. Combien avez-vous payé, et comment l'avez-vous fait accepter au chercheur ? »
- « Quels SLA d'accusé de réception et de résolution avez-vous tenus, et quand les avez-vous manqués ? »
- « Comment trieriez-vous ce rapport, là, maintenant ? » (remettez-leur-en un)
- « Comment tranchez-vous sur la sévérité lorsque le chercheur et vos ingénieurs ne sont pas d'accord ? »

## Erreurs fréquentes lors du recrutement d'un responsable bug bounty / VDP

- **Recruter un développeur d'exploits pour un poste d'exploitation.** Un talent de hacking d'élite ne garantit ni la discipline de triage, ni l'empathie envers les chercheurs, ni la rigueur des SLA. Évaluez l'ensemble du poste.
- **Attendre l'ouverture au public.** Le déferlement arrive dès le premier jour d'un programme public. Recrutez le responsable avant d'ouvrir les vannes, pas une fois la file en feu.
- **Prendre les certifications pour des preuves.** Aucun agrément n'existe pour ce poste. Beaucoup des meilleurs responsables viennent du côté des chercheurs, sans aucun diplôme de gestion de programme. Les certifications départagent, elles ne filtrent pas.
- **Sous-estimer la relation avec les chercheurs.** Un responsable capable de valider des bugs mais incapable de communiquer détruira silencieusement votre vivier de chercheurs et préparera le terrain à une explosion de divulgation publique.
- **Ignorer le problème du contenu bâclé dans la fiche de poste.** Si la description semble avoir été écrite en 2022, les candidats expérimentés de 2026 supposeront que vous ne comprenez pas le volume auquel ils seront confrontés.
- **Recruter la personne, puis lui confier une boîte de réception partagée et un tableur.** L'échec le plus évitable qui soit. Vous avez évalué la discipline des SLA et la cohérence des primes, puis vous ne leur avez donné aucun système pour faire respecter ni l'une ni l'autre.

## Comment Kit vous aide à recruter et équiper un responsable bug bounty / VDP

Le responsable que vous recrutez n'est efficace qu'à la hauteur du système que vous lui confiez. Vous pouvez évaluer rigoureusement le jugement de triage, la communication avec les chercheurs, la discipline des SLA et la cohérence du raisonnement sur les primes, mais si le nouveau responsable hérite d'une boîte de réception partagée et d'un tableur, les indicateurs que vous avez recherchés en entretien ne se matérialiseront jamais. Le module CSIRT / VDP de Kit est une plateforme d'exploitation structurée conçue précisément pour cette fonction : les compétences que vous avez évaluées deviennent ainsi le système qu'ils pilotent.

- **Triage de premier niveau assisté par l'IA.** La présélection de Kit effectue un premier passage par un LLM qui recommande d'accepter, de réexaminer ou de signaler selon un niveau de confiance, et fait ressortir des signaux explicites de contenu bâclé (fonctions hallucinées, CVE fabriquées, remédiation générique, preuve de concept absente, formulations tirées d'un modèle). C'est une aide, pas un rejet automatique : votre responsable arbitre les cas limites tandis que le contenu bâclé manifeste n'atteint jamais un ingénieur. Voilà la réponse opérationnelle au problème des 210 % de volume IA. Voir notre [analyse approfondie du triage du contenu IA bâclé](/blog/ai-slop-flooding-bug-bounty-triage).
- **Grand livre et réputation des chercheurs.** Un système de karma et de réputation récompense le travail valide et pénalise le contenu bâclé et le spam : les relations et l'historique des chercheurs vivent ainsi au même endroit, au lieu d'être reconstitués de mémoire. C'est précisément le grand livre dont ce poste a la charge.
- **Grille des primes par niveau de sévérité.** Les versements sont associés aux niveaux de sévérité par une politique (l'informatif vaut 0 $, puis en croissant selon la sévérité) : les décisions de prime sont ainsi cohérentes et défendables ; le cadre que vous avez recherché, appliqué par le système.
- **SLA d'accusé de réception et de résolution, ainsi que l'astreinte.** Kit suit les compteurs d'accusé de réception et de résolution par niveau de sévérité et prend en charge l'attribution automatique de l'astreinte : la discipline des SLA que vous avez évaluée en entretien est ainsi mesurée, et non traitée au mieux sans engagement.
- **Périmètre, security.txt et contrôles anti-spam à la source.** Un périmètre publié et un security.txt réduisent le bruit hors périmètre avant qu'il n'atteigne la file, et la limitation de débit empêche un seul acteur d'inonder la réception.

Recrutez l'opérateur capable de prendre en charge la file, puis donnez-lui une file qui mérite de l'être. Si vous n'avez pas encore lancé le programme, commencez par notre guide [comment mettre en place un programme de divulgation des vulnérabilités](/blog/how-to-set-up-vulnerability-disclosure-program). Vous évaluez un recrutement sécurité voisin ? Voir [comment recruter des ingénieurs sécurité grâce à la performance en CTF](/blog/hiring-security-engineers-ctf-performance-signal). Quand vous serez prêt, [démarrez un essai gratuit](/users/sign_up) et donnez à votre nouveau responsable le système dès le premier jour.